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Wijziging van de Wet gebruik 
burgerservicenummer in de zorg, de Wet 
marktordening gezondheidszorg en de 
Zorgverzekeringswet (cliëntenrechten bij 
elektronische verwerking van gegevens) 


NOTA NAAR AANLEIDING VAN HET VERSLAG 

Ontvangen 21 juni 2016 

Algemeen 

Met belangstelling heb ik kennis genomen van het verslag van de vaste 
commissie voor Volksgezondheid, Welzijn en Sport betreffende het 
wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens 
d.d. 24 mei 2016. 

Bij de beantwoording van de vragen houd ik zoveel mogelijk de volgorde 
van het verslag aan, maar ik heb daarnaast waar mogelijk en logisch een 
clustering aangebracht rond bepaalde thema's. Dit geldt met name voor 
de vragen met betrekking tot de gefaseerde invoering van het 
wetsvoorstel. 

Belang van dit wetsvoorstel 

De zorg verandert in hoog tempo. Elektronische uitwisseling van 
gegevens is aan de orde van de dag. Apothekers die het dossier van een 
patiënt inzien om bij het uitgeven van medicatie rekening te kunnen 
houden met intoleranties. Huisartsen die via teledermatologie een foto 
van een verdacht plekje op de huid kunnen opsturen naar de specialist en 
zo snel uitsluitsel kunnen geven of doorverwijzing nodig is. Mensen met 
depressie die online onder behandeling zijn en/of met hun behandelaar 
communiceren over hun gemoedstoestand en hun vorderingen bij de 
behandeling. 

We staan pas aan het begin van deze veranderingen. Uitwisseling van 
gegevens speelt hierin een centrale rol. Zo biedt het groeiende aantal 
e-health toepassingen veel actuele monitorgegevens op over de patiënt 
die bij kunnen dragen aan preventie, het tijdig signaleren van ziekte en 
een adequate behandeling. Daarbij zullen de regiemogelijkheden van de 
patiënt de komende jaren enorm toenemen met de ontwikkeling van een 
Persoonlijke Gezondheidsomgeving. Deze en vele andere ontwikkelingen 
dragen bij aan kwalitatief goede, veilige en samenhangende zorg en de 
betaalbaarheid. 
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Het is in het belang van de patiënt dat zorgverleners snel kunnen 
beschikken over goede en relevante medische informatie over de cliënt. 
Tegelijkertijd is medische informatie gevoelig en persoonlijk. Juist in een 
samenleving waar technologie massaal beschikbaar komt en informatie in 
toenemende mate wordt gedeeld moet de patiënt er van op aan kunnen 
dat dit op een veilige manier gebeurt en dat hij hier regie op kan voeren. 

Waarom een gefaseerde invoering? 

Meerdere fracties (CDA, D66, PvdA, Groen Links) vragen zich af wat de 
meerwaarde is van een gefaseerde invoering van dit wetsvoorstel. Zo 
vragen de leden van de CDA-fractie zich af wat het nadeel is als de wet 
pas over drie jaar ingaat. En de leden van de fractie van D66, PvdA en 
Groen Links vragen of de regering overweegt de behandeling van het 
wetsvoorstel (met een jaar) uit te stellen tot er meer duidelijkheid is over 
de uitvoerbaarheid van gespecificeerde toestemming en de realisatie van 
een portaal voor patiënten. En de leden van de PvdA-fractie vragen wat 
er gaat gebeuren als de uitgestelde bepalingen toch niet uitvoerbaar 
blijken te zijn. 

Ik vind dat we met het oog op de zich snel ontwikkelende praktijk haast 
moeten maken met het vastleggen van de spelregels ter bescherming van 
de patiënt. En die spelregels ook daadwerkelijk in te laten gaan. Er worden 
op dit moment al veel gegevens elektronisch uitgewisseld. Het klopt als 
de leden van de CDA-fractie stellen dat er niet heel veel mis gaat omdat 
er al het nodige is geregeld rond privacy en gegevensuitwisseling. Maar, 
die regels hebben niet specifiek betrekking op elektronische gegevensuit¬ 
wisseling. Daarvoor dient dit wetsvoorstel dat invulling geeft aan de motie 
Y van het lid Tan c.s. (Kamerstukken I 2010/11, 31 466, Y). Ik vind het 
belangrijk dat ook voor elektronische gegevensuitwisseling de kaders 
helder zijn en dus dat het wetsvoorstel - al is het nog niet in zijn geheel - 
zo snel mogelijk inwerking treedt. Verder uitstel zorgt voor vertraging van 
de implementatie van maatregelen die de bescherming van de patiënt ten 
goede komen. 

Graag licht ik dit toe. 

Elektronische gegevensuitwisseling is nuttig 


Het feit dat er veel elektronisch berichtenverkeer is, zegt iets over het nut 
ervan. 

Het nut voor de patiënt die niet steeds dezelfde vragen hoeft te beant¬ 
woorden of dezelfde onderzoeken hoeft te ondergaan. Die door betere 
beschikbaarheid van gegevens ook kalitatief betere zorg kan ontvangen. 
Het nut voor de zorgverlener die kan zien wat de voorgeschiedenis is van 
deze patiënt, welke onderzoeken al zijn gedaan en welke contra-indicaties 
er zijn. Geen geërgerde patiënt voor zich die meldt dat hij «dat al zo vaak 
verteld heeft». Niet langer situaties waarbij een patiënt naar een ander 
ziekenhuis wordt doorverwezen en opnieuw onder de scan wordt gelegd 
en onnodig wordt blootgesteld aan straling. En, het nut voor de samen¬ 
leving als geheel. Als de juiste informatie op het juiste moment op de 
juiste plek is scheelt dat tijd en geld. Elektronische gegevensuitwisseling 
kan leiden tot kwaliteits- en efficiencywinst, zo is mijn overtuiging. 

Maar het moet wel veilig gebeuren 


Het is belangrijk dat de zorgaanbieder zorgvuldig omgaat met medische - 
en dus persoonlijke, gevoelige - informatie. De burger heeft er recht op 
dat zorgvuldig met zijn gegevens wordt omgesprongen. Dat hij weet 
welke gegevens door welke zorgverleners kunnen worden ingezien. Dat 
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hij daar op grond van goede informatie toestemming voor kan geven. Dat 
hij bij twijfel dankzij de logbestanden kan (laten) nagaan wie zijn gegevens 
heeft ingezien. Dat de zorgverzekeraars geen gegevens kunnen inzien via 
het elektronische uitwisselingssysteem. Dat daar ook stevig tegen kan 
worden opgetreden. Allemaal zaken waarop de burger moet kunnen 
vertrouwen en waarborgen die ik burgers niet drie jaar wil onthouden. 

Dat is dus precies wat we regelen via dit wetsvoorstel. 

En aanvullend worden in een algemene maatregel van bestuur (AMvB) op 
grond van artikel 26 Wbp specifieke functionele, technische en organisato¬ 
rische eisen aan elektronische gegevensuitwisseling in zijn algemeenheid 
vastgelegd. 

Ter aanvulling op de bestaande wetgeving 


Een aantal randvoorwaarden is niet nieuw maar vormt een nadere 
invulling op de bestaande wet- en regelgeving. Ook nu al moeten 
zorgaanbieders bij uitwisseling van gegevens voldoen aan de eisen uit de 
Wet bescherming persoonsgegevens (Wbp) en de Wet geneeskundige 
behandelingsovereenkomst (WGBO). De eisen die daarin worden gesteld 
worden met dit wetsvoorstel meer toegespitst op elektronische gegevens¬ 
uitwisseling en aangevuld met een aantal belangrijke waarborgen zoals 
het verbod op toegang tot de gegevens voor zorgverzekeraars, bedrijfs¬ 
artsen, verzekeringsartsen, keuringsartsen. 

Uitstel van bepalingen, niet van behandeling 


Zorgaanbieders zijn op dit moment nog niet in staat om een aantal 
bepalingen in het wetsvoorstel uit te voeren. Dat geldt voor het vragen en 
registreren van gespecificeerde toestemming en voor het recht op 
elektronische inzage en afschrift. In de nadere memorie heb ik aange¬ 
geven dat gespecificeerde toestemming organisatorische en technische 
aanpassingen vergen aan de werkwijze en de uitwisselingsystemen van 
zorgaanbieders. Zorgaanbieders hebben hiervoor tijd nodig. En voor 
elektronische inzage en afschrift is het randvoorwaardelijk dat de burger 
beschikt over veilige authenticatiemiddelen op voldoende hoog betrouw- 
baarheidsniveau waarmee hij toegang kan krijgen tot zijn gegevens. 
Daaraan wordt op dit moment gewerkt. 

Ik zie hierin geen reden om de behandeling van dit wetsvoorstel uit te 
stellen. Dit wetsvoorstel heeft ook zonder dat deze bepalingen al in 
werking treden meerwaarde. De leden van de Groen Links-fractie vragen 
of de interpretatie juist is dat vanuit patiëntenperspectief de belangrijkste 
waarborgen van eigen regie en inzicht in privacy-aspecten gelegen zijn in 
de artikelen die (nog) niet in werking zullen treden. Inderdaad bevatten de 
artikelen die nog niet in werking treden belangrijke waarborgen voor 
eigen regie en inzicht in privacy aspecten. Maar een andere belangrijke 
bepaling ten aanzien van privacy - het verbod op toegang voor zorgverze¬ 
keraars - en de beveiligingseisen zoals neergelegd in de AMvB, treden al 
wel in werking. Daarnaast is een belangrijke overweging om de wet nu in 
werking te laten treden dat vanaf het moment waarop dat gebeurt 
zorgaanbieders en ICT aanbieders zekerheid hebben dat het gaat 
gebeuren, wanneer dat gaat gebeuren en waarin ze moeten investeren. 
Door de behandeling met een jaar uit te stellen bieden we zorgaanbieders 
en ICT-leveranciers nu niet de duidelijkheid die nodig is om over te gaan 
op de vereiste investeringen. Dat zal resulteren in uitstel van investe¬ 
ringen in deze broodnodige omslag. 

Koninklijke Nederlandse Maatschappij tot bevordering der Geneeskunst 
(KNMG), Koninklijke Nederlandse Maatschappij ter bevordering der 
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Pharmacie (KNMP), Landelijke Huisartsen Vereniging (LHV) en Neder¬ 
landse Patiënten en Consumenten Federatie (NPCF) hebben, gefaciliteerd 
door het Ministerie van VWS en Nictiz, een gezamenlijk plan opgesteld, 
waarin ze toewerken naar het geschetste eindperspectief en al concrete 
stappen zetten voor de implementatie van gespecificeerde toestemming. 
Bij de uitwerking van het plan worden ook andere partijen betrokken zoals 
Actiz en de Nederlandse Vereniging van Ziekenhuizen (NVZ). Ik heb er 
vertrouwen in dat ze samen tot een werkbare oplossing gaan komen die 
recht doet aan de positie van de cliënt en de administratieve verplich¬ 
tingen voor zorgaanbieders niet onnodig verzwaart. 

Tegelijkertijd wordt gezamenlijk gewerkt aan de persoonlijke gezondheids- 
omgeving. NPCF trekt dit traject gesteund door de zorgaanbieders, 
-verzekeraars en VWS. Al deze actoren zijn er op gericht om de omslag in 
drie jaar gemaakt te hebben. Dit wetsvoorstel sluit hier naadloos bij aan. 

Vragen en opmerkingen van de leden van de VVD-fractie 

De leden van de VVD-fractie vragen de regering of de op 6 april 2016 
door het Europees parlement aangenomen Algemene Verordening 
Gegevensbescherming (AVG) meer regelt dan het wetsvoorstel of juist 
beperkingen aan de verwerking en verstrekking van gegevens door of aan 
zorgverleners en ziektekostenverzekeraars stelt zoals zal plaatsvinden op 
grond van het onderhavige wetsvoorstel? 

De Algemene Verordening Gegevensbescherming (AVG) zal de Wet 
bescherming persoonsgegevens (Wbp) zoals deze nu bestaat vervangen. 
Momenteel worden de exacte gevolgen van de AVG in kaart gebracht. 
Gegevens over iemands gezondheid mogen ook op grond van de AVG 
worden verwerkt. De beperkingen die daarbij gelden komen overeen met 
de beperkingen zoals die op grond van de Wbp gelden. Voorlopige 
conclusie op dit punt lijkt derhalve te zijn dat de AVG voldoende ruimte 
laat voor een nationale regeling zoals voorgesteld wordt met dit 
wetsvoorstel. Ook voor zover de AVG elementen bevat die een uitbreiding 
vormen ten opzichte van de Wbp, lijken die niet te botsen met de nu 
voorgestelde bepalingen. 

Vragen en opmerkingen van de leden van de CDA-fractie 

De leden van de SP-fractie geven aan dat ze zich aansluiten bij de vragen 
van de leden van de fractie van het CDA. 

Gefaseerde invoering; recht op elektronische inzage 

De leden van de CDA-fractie vragen waarom - in het licht van gefaseerde 
invoering van de wet - het recht op inzage voor patiënten wordt 
uitgesteld. 

Het recht op inzage als zodanig wordt niet uitgesteld, immers, op grond 
van de WGBO heeft de patiënt recht op inzage in zijn (papieren) dossier. 
Het onderhavige wetsvoorstel regelt aanvullend hierop het recht het 
dossier ook langs elektronische weg in te zien. Om je gegevens elektro¬ 
nisch in te kunnen zien is een authenticatiemiddel op hoog betrouwbaar- 
heidsniveau nodig. Helaas is dat nog niet op brede schaal beschikbaar 
voor burgers. Vandaar het voorstel de bepalingen over elektronische 
inzage en elektronisch afschrift niet eerder dan drie jaar na inwerking¬ 
treding van dit wetsvoorstel in werking te laten treden. Dit betekent niet 
dat het zorgverleners niet is toegestaan elektronische inzage in het dossier 
te geven binnen de geldende wet- en regelgeving. Het betekent dat dit 
over drie jaar een recht is om het ook elektronisch te kunnen inzien. 
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De leden van de CDA fractie vragen welke normen met betrekking tot de 
veilige apparatuur en communicatie nu nog niet gelden en met het 
wetsvoorstel wel direct van toepassing worden? 

De NEN 7513 over logging is op dit moment nog niet vastgelegd in 
regelgeving. Met het besluit behorend bij dit wetsvoorstel maakt deze 
norm onderdeel uit van een passende beveiliging bij elektronische 
verwerking van medische gegevens. 

De leden van de CDA-fractie vragen de regering aan te geven op grond 
van welke gegevens zij tot de conclusie komt dat hetgeen nu nog niet 
mogelijk is, over drie jaar wel beschikbaar is en geïmplementeerd kan zijn, 
ook met betrekking tot adequate, veilige en betrouwbare authenticatie- 
middelen? De leden van de fracties van het CDA en van de PVV vragen 
naar de stand van zaken rond het afsprakenstelsel en de ontwikkeling van 
authenticatiemiddelen. 

Op dit moment worden er pilots uitgevoerd met publieke en private 
inlogmiddelen. Ook in de zorgsector wordt er getoetst met authenticatie¬ 
middelen op hoog betrouwbaarheidsniveau. De Minister van Binnen¬ 
landse Zaken en Koninkrijksrelaties houdt de Tweede Kamer op de hoogte 
van het verloop van alle pilots 1 . Hij verwacht nog voor het zomerreces 
met de Tweede Kamer te spreken over de verdere stappen op weg naar 
beschikbaarheid van publieke en private authenticatiemiddelen. Gezien 
deze ontwikkelingen vertrouw ik erop dat over drie jaar na inwerking¬ 
treding van deze wet authenticatiemiddelen op hoog betrouwbaarheids¬ 
niveau beschikbaar zijn. Ten aanzien van de aanpassingen bij de 
aanbieders verwijs ik naar de trajecten die momenteel lopen en die ervoor 
moeten zorgen dat in lijn met dit wetsvoorstel over 3 jaar iedereen klaar is 
om de verplichtingen te kunnen vervullen die het wetsvoorstel vraagt. 

Normen 

De leden van de CDA-fractie vragen of de regering bekend is met het 
Besluit (EU) 2015/1302 van de Europese Commissie betreffende de 
vaststelling van de profielen op het gebied van «Integrating the 
Healthcare Enterprise» (IHE) als referentie bij overheidsopdrachten, of 
Nederland uitwerking geeft aan dit besluit, of de regering kan aangeven in 
hoeverre deze standaarden kunnen bijdragen aan betere veiligheid van 
apparatuur en communicatie zoals beoogd in onderhavig wetsvoorstel en 
of de standaard wordt opgenomen in de AMvB. 

De regering is inderdaad bekend met het genoemde besluit. Daar waar 
sprake is van een Europese aanbesteding en van relevantie vanuit aard en 
toepassing zal verwezen worden naar deze «IHE profielen». De IHE 
profielen leveren een bijdrage aan betere veiligheid van apparatuur, 
communicatie en interoperabiliteit vanwege de wijze waarop deze 
profielen ontwikkeld en getest worden. Dit betekent evenwel niet dat de 
profielen a priori voldoen aan de eisen en wensen die de praktijk of wet¬ 
en regelgeving stelt aan apparatuur, communicatie en interoperabiliteit. 

De CDA fractie vraagt of er al iets te zeggen is over de uitwerking van de 
AMvB waarin specifieke, technische en organisatorische eisen aan de 
elektronische gegevensuitwisseling in zijn algemeenheid worden 
vastgelegd, en waarin deze mogelijk zal verschillen met de huidige eisen 
dienaangaande? 


1 https://www.rijksoverheid.nl/ministeries/ministerie-van-binnenlandse-zaken-en- 
koninkrijksrelaties/documenten/kamerstukken/2016/04/29/kamerbrïef-over-planning-evaluatie- 
pilots-eid 
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In de AMvB wordt dwingend verwezen naar de NEN 7510, 7512 en 7513, 
daarnaast worden eisen gesteld aan de beheerder van een elektronisch 
uitwisselingsysteem. De eisen in de AMvB vormen een aanvulling op 
eisen op grond van de bestaande wet- en regelgeving. De eisen van NEN 
7510 en 7512 gelden nu overigens ook al voor systemen waarmee het bsn 
wordt verwerkt. Als de stand van de techniek vordert kan de AMvB 
daaraan worden aangepast, zoals bijvoorbeeld de adviezen van de heer 
Verheul rond het veilig elektronisch uitwisselen van gegevens uit de 
deskundigenbijeenkomst kunnen worden verwerkt. 2 

Privacy/uitwisseling gegevens 

De leden van de CDA-fractie vragen of de regering preciezer kan 
aangeven hoe het wetsvoorstel borgt dat alleen de behandelend arts 
toegang heeft tot een dossier en of voorkomen kan worden dat dossiers 
(door onbevoegden) gekopieerd worden? 

Dit wetsvoorstel is kaderstellend. Zo moeten elektronische systemen voor 
het bijhouden van dossiers alsmede elektronische uitwisselingssystemen 
op zo'n manier zijn ingericht dat onbevoegden niet vrijelijk over de daarin 
opgenomen gegevens kunnen beschikken. De inrichting moet zo zijn dat 
de zorgverlener aan zijn geheimhoudingsplicht kan voldoen en gegevens 
alleen te raadplegen zijn binnen de behandelrelatie en voor zover de cliënt 
toestemming heeft gegeven bepaalde gegevens beschikbaar te stellen. 

Het wetsvoorstel stelt geen eisen aan de daarvoor gebruikte systemen. 

Wel worden in de algemene maatregel van bestuur op grond van art. 26 
Wbp technische en organisatorische eisen opgenomen. Hierin zal worden 
verwezen naar de relevante NEN-normen 7510, 7511 en 7513. Daarin zijn 
beveiligingseisen opgenomen en eisen voor de logging zodat duidelijk is 
wie wanneer toegang heeft gehad tot bepaalde gegevens. 

De zorgaanbieder zal zich aan deze randvoorwaarden moeten houden. De 
patiënt kan hem «controleren» op basis van de loggegevens. De Autoriteit 
Persoonsgegevens (AP) en de Inspectie Gezondheidszorg (IGZ) zijn 
verantwoordelijk voor het toezicht en de handhaving. 

De CDA fractie vraagt hoe de regering de relatie ziet tussen het belang 
van privacy en veilige communicatie enerzijds en de onveiligheid van veel 
thuisapparatuur anderzijds, alsmede wat dat betekent voor voorliggend 
wetsvoorstel? 

Het wetsvoorstel richt zich op randvoorwaarden aan elektronische 
verwerking van gegevens door zorgaanbieders en de rechten van de 
patiënt daarbij. De regering is van mening dat wanneer medische 
gegevens tussen zorgaanbieders worden uitgewisseld dit op een veilige 
wijze moet gebeuren. Zorgaanbieders zijn verantwoordelijk voor een 
veilige communicatie, waarbij de privacy van de patiënt gewaarborgd is. 
Dat betekent dat indien de patiënt via een onbeveiligde verbinding een 
email stuurt met daarin medische gegevens de zorgaanbieder hier niet 
zomaar op kan antwoorden. Indien patiënten er zelf voor kiezen bepaalde 
wijzen van communicatie te gebruiken, zonder dat de zorgaanbieder 
daarbij betrokken is, die niet voldoen aan de geldende normen dan is dit 
de eigen verantwoordelijkheid van de patiënt. Het wetsvoorstel ziet daar 
niet op. Wel zullen de eisen die met deze wet in werking treden richting 
gevend worden voor de fabrikanten van thuisapparatuur. De zorgaan¬ 
bieder kan immers de patiënt aanraden apparatuur aan te schaffen die 
daaraan voldoet en waarmee toch mogelijkheden van monitoring van de 
patiënt vorm kunnen krijgen. 


2 Kamerstukken I, 2015-2016, 33 509, nr. M. 
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Gespecificeerde toestemming 


De leden van de CDA fractie vragen of er inmiddels een mede door het 
veld geaccordeerde, te implementeren definitie van gespecificeerde 
toestemming is. 

In samenwerking met een aantal brancheorganisaties in de zorg is een 
uitwerking gemaakt van het amendement gespecificeerde toestemming. 
De uitwerking geeft een invulling aan het begrip gespecificeerde 
toestemming dat als basis dient voor de implementatie van gespecifi¬ 
ceerde toestemming 3 . 

De leden van de CDA-fractie vragen of met dit wetvoorstel ten opzichte 
van de WGBO en de Wbp een verschuiving plaatsvindt van de regie van 
de arts naar meer zeggenschap bij de patiënt en wat de regering vindt van 
het pleidooi dat het beter zou zijn geweest rechten en bescherming van 
patiënten via een andere wet te regelen. 

Dit wetsvoorstel verandert niets aan de WGBO. Er vindt niet zozeer een 
verschuiving als wel een uitbreiding plaats ten opzichte van de nu 
bestaande regels over dossiers in de WGBO en het verwerken van 
gezondheidsgegevens op grond van de Wbp. Die uitbreiding heeft met 
name betrekking op de regels voor het gebruik van elektronische 
uitwisselingssystemen en logging en inzage bij elektronische verwerking 
van gegevens. 

De arts houdt op grond van de WGBO de regie over het dossier dat hij van 
een patiënt bijhoudt. In de passage van de deskundigenbijeenkomst, waar 
de leden van de PvdA-fractie naar verwijzen, lees ik een bevestiging dat 
het goed is dat dit stelsel van de WGBO in stand blijft waarbij we uitgaan 
van het professionele dossier van de arts. 

De leden van de CDA fractie vragen of het juist is dat er op dit moment 
geen gestandaardiseerde lijsten bestaan van (categorieën van) zorgver¬ 
leners en er geen duidelijke categorisering is van medische gegevens 
waartegen ja of nee gezegd kan worden. Zo ja, kan de regering aangeven 
of, en zo ja, hoe dit probleem ondervangen zal worden? 

Zorgaanbieders wisselen ook op dit moment medische gegevens uit. 
Welke gegevens zij uitwisselen is vastgelegd in protocollen die de 
beroepsgroep met elkaar opstelt. Op basis van deze gegevensset kan 
toestemming worden gevraagd. Daarbij zijn grote groepen zorgverleners 
geregistreerd in het BIG-register. Deze categorieën kunnen worden 
gebruikt bij de uitwerking van gespecificeerde toestemming, zoals koepels 
daar nu mee bezig zijn. 

Patiëntenportaal 

De leden van de CDA fractie vragen wat de regering vindt van een 
patiëntenportaal: in de deskundigenbijeenkomst werd het portaal niet als 
plicht, maar als een optie of een recht voorgesteld. Ook de leden van de 
SP-fractie vragen of het gebruik van zo'n portaal verplicht is. 

De regering deelt het perspectief dat de zorgpartijen voor ogen hebben 
waarin de patiënt zelf zijn toestemmingsprofiel kan vastleggen, inzien en 
vastleggen. Gedacht kan worden aan systemen waarin de patiënt 
desgewenst op ieder moment op iedere plaats zijn toestemming kan 
aanpassen. Maar ook een patiëntenportaal waarin patiënten inzage 
hebben in hun medische gegevens hebben bij een zorgaanbieder zou 
hiervoor een instrument kunnen zijn. Wellicht dat dergelijke portalen. 


3 Bijlage bij de nadere memorie van antwoord, Kamerstukken I, 2015-2016, 33 509, nr J. 
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zoals de portalen die al in gebruik zijn bij het UMCU, LUMC of UMC 
Radboud, kunnen toegroeien richting een instrument waar ook het 
persoonlijk toestemmingsprofiel beheerd kan worden. 

De leden van de CDA-fractie vragen verder hoe een patiënt zonder een 
patiëntenportaal kan zien wie zijn gegevens heeft geraadpleegd? 

De patiënt heeft op grond van dit wetsvoorstel het recht in te zien wie zijn 
gegevens heeft geraadpleegd (logging), ongeacht of hij is aangesloten bij 
een patiëntenportaal. Inzage in de logging is niet verbonden met een 
patiëntenportaal, waarbij men zich richt op de registratie van de 
toestemming. De zorgaanbieder zal de patiënt deze informatie desge¬ 
vraagd moeten verschaffen. 

De leden van de CDA-fractie vragen wie uiteindelijk verantwoordelijk is 
dan wel zou moeten zijn, ook financieel, voor het beheer van een 
eventueel patiëntenportaal. 

Het patiëntenportaal betreft toegang tot een informatiesysteem van een 
zorgaanbieder en krijgt momenteel vorm via vooroplopende ziekenhuizen, 
zoals het LUMC, het Radboud en het UMCU. Bij de uitwerking van 
gespecificeerde toestemming werkt de sector samen aan een oplossing 
waarbij patiënten hun eigen toestemmingsprofiel kunnen vastleggen en 
beheren bijvoorbeeld via een toestemmingsportaal. De verantwoorde¬ 
lijkheid hiervoor wordt meegenomen in het traject van zorgpartijen tot 
uitwerking van gespecificeerde toestemming. 

De leden van de CDA-fractie vragen of het wetsvoorstel het mogelijk wil 
maken dat naast een zorgverlener, ook de patiënt en een vervolgbehan- 
delaar een dossier kan bewerken en wie eindverantwoordelijk is voor de 
juistheid van het dossier respectievelijk een veilige uitwisseling? 

Het wetsvoorstel geeft patiënten en of vervolgbehandelaars niet het recht 
om gegevens te bewerken zonder tussenkomst van de zorgaanbieder die 
de gegevens beschikbaar heeft gesteld. Wel geeft het wetsvoorstel 
patiënten het recht zelfmedicatie door de apotheker beschikbaar te laten 
stellen via een elektronisch uitwisselingssysteem. Dit betekent niet dat de 
patiënt deze gegevens zelf kan toevoegen. Bij de ontwikkelingen ten 
aanzien van een persoonlijke gezondheidsomgeving is veel aandacht voor 
de mogelijkheden voor patiënten om zelf gegevens aan zijn medisch 
dossier toe te voegen. Daarvoor zal ongetwijfeld ruimte komen, waarbij 
ieder verantwoordelijk is en blijft voor het deel dat hij toevoegt. Iedereen 
kan alleen zijn eigen teksten wijzigen. De Persoonlijke Gezondheidsom¬ 
geving wordt momenteel gezamenlijk onder leiding van patiënten (IMPCF) 
met behulp van zorgaanbieders (KNMG, KNMP, LHV, NVZ) en VWS 
ontwikkeld. 

Algemeen met betrekking tot het wetsvoorstel 

De leden van de CDA-fractie vragen of dit wetsvoorstel regelt dat de 
gegevens kunnen worden gebruikt voor wetenschappelijk onderzoek en 
wat daarbij de eventuele voorwaarden zijn. 

Voor het gebruik van gegevens voor statistiek of wetenschappelijk 
onderzoek geldt het bepaalde in art. 7:458 BW (WGBO) en artikel 23, 
tweede lid Wbp. In deze artikelen zijn de voorwaarden opgenomen voor 
het gebruik van gegevens voor wetenschappelijk onderzoek en statistiek. 
Het geven van toestemming is daarbij het uitgangspunt. Dit wetsvoorstel 
verandert niets aan deze regels. Dit wetsvoorstel geeft niet de 
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mogelijkheid dat voor onderzoek zonder toestemming gegevens uit een 
elektronisch uitwisselingssysteem worden gehaald. 

De leden van de CDA fractie vragen of het juist is dat pull-berichten op dit 
moment nog niet of nauwelijks zijn toegestaan en dat met het aannemen 
van de rompwet de mogelijkheden hiervoor worden vergroot? 

Pull-berichten zijn nu ook al mogelijk als daarvoor - zoals op grond van de 
Wbp verplicht is - uitdrukkelijke toestemming van de cliënt is verkregen. 
Het aannemen van deze wet vergroot die mogelijkheden niet maar 
verduidelijkt de kaders en vergroot de rechten van de cliënt, namelijk voor 
wat betreft het specificeren van zijn toestemming en de logging op alle 
acties die op zijn gegevens worden uitgevoerd. 

De leden van de CDA en PvdA fractie vragen of het wetsvoorstel alleen 
betrekking heeft op pull berichten en niet op push berichten. 

Er is enige onduidelijkheid ontstaan over de reikwijdte van het 
wetsvoorstel. Het wetsvoorstel is zowel gericht op push als pull verkeer. 
Wel kent het wetsvoorstel een aantal bepalingen dat in de uitwerking 
alleen ziet op pull berichten, namelijk de bepalingen die betrekking 
hebben op het gebruik van een elektronisch uitwisselingssysteem. Een 
dergelijk systeem wordt gebruikt voor pull-verkeer. Het betreft de artikelen 
15a, 15b, 15e onder a, 15f, 15h. De overige bepalingen, waaronder de 
logging en beveiligingsmaatregelen gelden zowel voor push als pull 
berichten. 

De leden van de CDA-fractie vragen in hoeverre het wetsvoorstel borgt 
dat de toestemming van de patiënten geen onderdeel wordt van 
tariefonderhandelingen en contracten van de zijde van de zorgverzekeraar. 

Op grond van de Wbp moet toestemming vrijelijk worden gegeven. Als 
daar niet aan wordt voldaan is er geen sprake van een geldige 
toestemming. Het is van belang alert te blijven op signalen die afbreuk 
doen aan de vrije toestemming. 

De leden van de CDA-fractie vragen nader in te gaan op de relatie en zo 
mogelijk de spanning tussen enerzijds de toestemming van de patiënt en 
anderzijds het vitale belang als bedoeld in artikel 8 van de Wbp op grond 
waarvan een zorgverlener ook zonder toestemming van de patiënt 
gegevens zou kunnen raadplegen. Kunnen minder zelfredzame mensen er 
niet de dupe van worden als ze geen toestemming hebben gegeven? 

Het vitale belang als bedoeld in artikel 8, onderdeel d Wbp, is geen 
grondslag om het ontbreken van toestemming in een gewone behande¬ 
lingsrelatie te «overrulen». Dit vitale belang moet eng worden geïnterpre¬ 
teerd: het vitale belang (ofwel het leven) van de patiënt of een derde is in 
het geding en het vragen van uitdrukkelijke toestemming is onmogelijk, 
bijvoorbeeld vanwege bewusteloosheid. Ook in de WGBO is een 
dergelijke «nood»-bepaling opgenomen voor het verrichten van medische 
handelingen zonder toestemming (art. 7:466 BW). 

Als cliënten geen toestemming hebben gegeven hun gegevens 
beschikbaar te stellen via een elektronisch uitwisselingssysteem, zal een 
(nieuwe) behandelaar van die cliënt geen gegevens over hem kunnen 
inzien via dat elektronisch uitwisselingssysteem. Op grond van de WGBO 
kan deze behandelaar wel beschikken over informatie die als push 
berichten aan hem zijn verstuurd, zoals een verwijzing van de huisarts. 
Verder heeft de cliënt op grond van art.7:452 BW de verplichting naar 
beste weten inlichtingen te verstrekken aan de zorgverlener. Voor minder 
zelfredzame mensen kan dit moeilijk zijn en kan het verlenen van 
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toestemming om via een elektronisch uitwisselingssysteem inzage te 
geven in zijn gegevens bij andere zorgverleners van grote toegevoegde 
waarde zijn. Goede voorlichting en eventuele hulp bij het geven van 
toestemming kan deze mensen helpen om in het belang van hun 
gezondheid in een betere positie te komen. 

Vragen en opmerkingen van de leden van de D66-fractie. 

De leden van de fracties van het CDA en D66 stellen vragen over de NEN 
normen en of deze voldoende adequaat zijn voor het beveiligen van de 
uitwisseling van elektronische uitwisseling van medische gegevens? 

Uitgangspunt voor de beveiliging van persoonsgegevens is artikel 13 van 
de Wbp. Gegevens moeten passend worden beveiligd. Aan het begrip 
passend is invulling gegeven door de NEN normen in de AMvB op te 
nemen. De verplichte NEN normen stellen randvoorwaarden aan de 
informatiebeveiliging en de logging. In aanvulling op de NEN normen 
worden enkele andere eisen in de AMvB opgenomen. Mede gelet op de 
opmerkingen van de heer Verheul in de deskundigenbijeenkomst is de 
regering voornemens de AMvB aan te vullen met de eis dat naar de 
laatste stand van wetenschap en techniek privacy versterkende maatre¬ 
gelen moeten worden genomen. Daarmee wordt voorkomen dat 
voortschrijdende technologische verbeteringen ten aanzien van privacy¬ 
bescherming niet worden toegepast. 

Vragen en opmerkingen van de leden van de PVV-fractie 

De leden van de fractie van de PVV stellen vast dat het onderzoek naar 
het gebruik van een zorgpas waarnaar in de nadere memorie van 
antwoord wordt verwezen inmiddels vijf jaar oud is; zij vragen of er 
nieuwe technologische ontwikkelingen zijn die de destijds geconstateerde 
bezwaren bij een zorgpas wegnemen, of dat deze ontwikkelingen binnen 
afzienbare tijd kunnen worden verwacht. 

De regering zijn geen ontwikkelingen bekend die de bezwaren bij een 
zorgpas in spoedgevallen, bij nood of bij verlies/diefstal wegnemen. Deze 
ontwikkelingen zijn ook niet meer te verwachten in een tijdperk waarin 
juist wordt ingezet op nieuwe technologieën. 

De leden van de PVV-fractie vragen of de regering kan aangeven hoe de 
in dit wetsvoorstel bedoelde toestemmingsmogelijkheden en bescher¬ 
mingsniveaus zich verhouden tot monitorgegevens uit e-health toepas¬ 
singen? Hoe kan een patiënt hierover concreet controle en inzicht 
behouden, en wie kan er toegang tot deze informatie krijgen? 

Onderhavig wetsvoorstel en de AMvB bieden de kaders voor een veilige 
uitwisseling van gegevens tussen zorgaanbieders en de rechten van de 
cliënt hierbij. De wijze waarop deze gegevens zijn verzameld is daarbij niet 
van belang. Of gegevens door middel van een eHealth toepassing (zoals 
een teleconsult) of op een traditionele wijze (het gesprek in de spreek¬ 
kamer van de huisarts) zijn verzameld, de gegevens mogen pas elektro¬ 
nisch worden uitgewisseld als aan alle wettelijke eisen is voldaan. Dit 
betekent dus ook dat de gegevens pas elektronisch beschikbaar mogen 
worden gesteld na toestemming van de cliënt. 

De leden van de PVV-fractie vragen naar aanleiding van het initiatief van 
Philips voor een datacloud in samenwerking met verzekeraar Allianz of er 
ondanks het toegangsverbod voor verzekeraars als voorgesteld in artikel 
15f, toch mogelijkheden zijn dat (commerciële) partners van verzekerings¬ 
maatschappijen toegang krijgen tot patiënteninformatie. 
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Het toegangsverbod van artikel 15f ziet op elektronische uitwisselingssys- 
temen zoals gedefinieerd in dit wetsvoorstel: een systeem waarmee 
zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of 
gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen 
maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, 
voor het bijhouden van een elektronisch dossier. Een datacloud zoals 
Philips wil faciliteren is niet een systeem dat door zorgaanbieders wordt 
gebruikt om gegevens raadpleegbaar te maken, en daarom dus geen 
elektronisch uitwisselingssysteem. Een partij als Philips mag alleen 
gezondheidsgegevens verwerken als zij daarvoor op grond van art. 23, 
eerste lid onderdeel a, Wbp uitdrukkelijke toestemming heeft gekregen. 
Alleen als die toestemming ook uitdrukkelijk ziet op het doorgeven van die 
gegevens aan bijvoorbeeld een verzekeraar, zou een verzekeraar over die 
gegevens mogen beschikken. Dit wetsvoorstel is nu juist opgesteld om in 
deze zich snel ontwikkelende technologische wereld de rechten van de 
patiënt beter te borgen. 

De leden van de PVV-fractie stellen een aantal vragen naar aanleiding van 
de bijdrage van de heer Verheul aan de deskundigheidsbijeenkomst. Zo 
vragen zij zich af of de regering zich genoodzaakt ziet maatregelen te 
nemen gelet op de gevoeligheid van een verwijsindex, zoals de heer 
Verheul heeft aangegeven. En, of de regering de stelling van de heer 
Verheul over een veiligheidsrisico deelt:» Die gegevens worden 
versleuteld verstuurd naar het landelijk schakelpunt, zeg maar de hub, de 
centrale spil. Ze worden daar ontsleuteld en vervolgens opnieuw 
versleuteld naar de opvragende zorgaanbieder verstuurd. Dat is een 
manier van werken die tien jaar geleden, toen dit soort systemen werd 
ontwikkeld, misschien nog wel logisch was, maar op dit moment is het 
niet meer gebruikelijk dat gegevens eventjes in the clear, onversleuteld, in 
zo'n centraal systeem staan. (...) Die oude manier van werken, waarbij die 
versleuteling even ongedaan wordt gemaakt op een centrale plek, is niet 
meer van deze tijd.» 4 Tot slot vraagt de PVV-fractie of de constatering van 
De heer Verheul klopt: «NEIM 7510 werd genoemd. Dat is dus geen 
technische norm, maar een norm voor informatiemanagementsystemen. 
Die norm voegt in deze context niet zo heel veel toe aan de beveiliging.» 

De regering is van mening dat de suggesties van de heer Verheul in de 
deskundigenbijeenkomst een bijdrage leveren aan het veilig uitwisselen 
van gegevens. 

Uitgangspunt voor de beveiliging van persoonsgegevens is artikel 13 van 
de Wbp. Gegevens moeten passend worden beveiligd. Aan het begrip 
passend is invulling gegeven door in ieder geval de NEN normen in de 
AMvB op te nemen. De NEN 7510 is een norm voor informatiebeveiliging. 
Deze norm bevat belangrijke eisen voor de omgang met informatie. Gelet 
op deze vragen ben ik voornemens om in de AMVB op te nemen dat naar 
de laatste stand van wetenschap en techniek privacy versterkende 
maatregelen moeten worden genomen. Daarmee wordt voorkomen dat 
voortschrijdende technologische verbeteringen ten aanzien van privacy¬ 
bescherming niet worden toegepast. 

Op 13 mei 2016 heeft de heer Böhre van Privacyfirst een brief naar de 
Eerste Kamer gestuurd met daarin aandachtspunten en daarop 
gebaseerde vragen. 5 De PVV-fractieleden verzoeken de regering de in de 
brief gestelde vragen van een antwoord te voorzien. 

Een aantal van de door Privacy First gestelde vragen zijn ook gesteld door 
de leden van de SP-fractie. Die vragen en antwoorden vindt u hieronder 
bij het onderdeel «Vragen en opmerkingen van de leden van de 


4 Kamerstukken I 2015-2016, 33 509, L, p. 19. 

5 Brief van 13 mei 2016, griffienummer 156848.38. 
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SP-fractie». In antwoord op de overige vragen en opmerkingen van 
Privacy First: 

- Het is niet meer mogelijk om voor een specifieke zorgvraag binnen de 
context van een behandeling, een specifieke set gegevens te ontsluiten 
voor uitsluitend bij die behandeling betrokken zorgverleners. Deze 
veronderstelling is niet juist: het blijft in die situatie mogelijk een 
specifieke set gegevens te ontsluiten. 

- Hoe kan een toestemmingsvraag specifiek zijn maar het antwoord 
hierop generiek? Een vraag kan specifiek zijn, bijvoorbeeld «Mag ik uw 
medicatie gegevens beschikbaar stellen aan alle apothekers in 
Amersfoort?». Een generiek antwoord op die vraag kan ja of nee zijn. 

- Is de vraag «Mag ik uw medische gegevens ontsluiten via dit zorgcom- 
municatiesysteem?», zonder daarbij aan te duiden voor welk concreet 
doel en voor wie deze gegevens worden ontsloten, een specifieke 
toestemmingsvraag? Ik beschouw dit niet als een specifieke vraag, 
aangezien niet helder is voor wie en welke gegevens worden ontsloten 
en voor welk doel. 

- Wie is eindverantwoordelijk en aansprakelijk voor de toegankelijkheid 
en de vertrouwelijkheid van medische gegevens als de patiënt daar 
meer zeggenschap over krijgt? Vereist dit een «patiëntgeheim», zodat 
voorkomen kan worden dat een patiënt onder druk gezet wordt om 
toegang te geven tot zijn of haar gegevens, en dit alles tezamen 
nieuwe wetgeving? Een zorgverlener is er voor verantwoordelijk geen 
gegevens buiten de behandelrelatie beschikbaar te stellen tenzij de 
patiënt daartoe uitdrukkelijke toestemming heeft gegeven. Een 
patiëntengeheim voegt niets toe aan de al geldende regels op grond 
van de Wbp dat toestemming vrijelijk moet zijn gegeven. Overigens 
versterkt dit wel de positie van de patiënt ten opzichte van zijn huidige 
positie. 

Vragen van de leden van de SP-fractie 

De leden van de SP-fractie vragen hoe «gespecificeerde toestemming» 6 
kan voldoen aan de eisen van een geïnformeerde, weloverwogen en 
uitdrukkelijke toestemming, zoals vastgelegd in artikel 8 van het Europees 
Verdrag voor de Rechten van de Mens (EVRM) en Wbp, wanneer deze in 
potentie alsnog een generieke reikwijdte behelst? 

Gespecificeerde toestemming behelst geen generieke reikwijdte. 
Toestemming dient altijd voldoende specifiek te zijn, ook gespecificeerde 
toestemming. Zoals ook in de deskundigenbijeenkomst door de vertegen¬ 
woordiger van de Autoriteit Persoonsgegevens werd gezegd, voldoet de 
toestemmingsbepaling aan de eisen die daaraan worden gesteld. 

Verderop wordt nader ingegaan op wat wordt gezien als specifiek. 

De leden van de SP-fractie vragen welke bescherming het wetsvoorstel 
biedt tegen het risico dat patiënten toestemming geven, dan wel wordt 
gevraagd, waarvan ze de gevolgen voor de toegankelijkheid van hun 
medische gegevens niet kunnen overzien? 

Dit is een bestaande situatie, patiënten krijgen extra bescherming met dit 
wetsvoorstel, daar waar ze dat in het kader van elektronische gegevensuit¬ 
wisseling nog niet hebben. Patiënten moeten op grond van dit 
wetsvoorstel uitdrukkelijke toestemming geven vooreen bepaalde 
gegevensuitwisseling tussen bepaalde (categorieën van) zorgaanbieders. 
Zij moeten dus vooraf een beeld hebben hoever de toestemming reikt. Op 
grond van artikel 15c heeft de zorgaanbieder een informatieplicht: hij 
moet de patiënt informeren dat hij gegevens elektronisch wil uitwisselen, 


Artikel 15a van het wetsvoorstel. 
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met welke (categorieën) van zorgverleners dat (in potentie) kan en om 
welke (categorieën van) gegevens het gaat. De zorgaanbieder zal zodanige 
informatie moeten geven, dat patiënten hiervan een goed beeld kunnen 
krijgen en een weloverwogen keuze kunnen maken. 

De leden van de SP-fractie vragen zich af of het geven van toestemming 
aan de ene zorgverlener ook leidt tot het ontsluiten van gegevens bij 
andere zorgverleners die een dossier van de patiënt bijhouden. 

Dat is alleen mogelijk als de zorgaanbieder ook toestemming vraagt voor 
het beschikbaar stellen van gegevens door de andere zorgaanbieder. Deze 
vraag moet specifiek gesteld worden, zodat voor de patiënt helder is 
waarvoor hij toestemming geeft. Daarnaast zal de andere zorgaanbieder 
wel moeten nagaan of hij inderdaad toestemming heeft om gegevens 
beschikbaar te stellen, dat zou bijvoorbeeld via registratie in een portaal 
kunnen. 

De leden van de SP-fractie vragen of de vraag «Mag ik uw medicatiege- 
gevens via het LSP uitwisselen met andere zorgverleners ten behoeve van 
toezicht op veilig medicijngebruik?» een specifieke vraag is waarop een 
generiek antwoord mogelijk is. Ook vragen zij zich af of hoe een gespecifi¬ 
ceerd antwoord op de vorige vraag eruit ziet. 

Uit de gespecificeerde toestemmingsvraag moet blijken welke gegevens 
aan welke zorgaanbieders of categorieën van zorgaanbieders mogen 
worden gesteld. In dit specifieke voorbeeld van de leden van de SP-fractie 
is de vraag niet voldoende specifiek, de vraag zou meer informatie 
moeten bevatten over de zorgverleners aan wie de gegevens beschikbaar 
worden gesteld. Een betere vraag zou zijn: «Mag ik uw medicatiegegevens 
via het LSP uitwisselen met andere apothekers in de gemeente Den Haag 
ten behoeve van toezicht op veilig medicijngebruik?» Met een toelichting 
welke apotheken zijn aangesloten. Een gespecificeerd antwoord zou 
kunnen zijn: «Dat mag, maar alleen aan apotheek X en Y». 

De leden van de SP-fractie stellen een aantal vragen over de manier 
waarop het idee van een toestemmingsprofiel (portaal) als hulpmiddel bij 
de uitvoering van de bepalingen rond gespecificeerde toestemming 
precies wordt ingericht. 

Hoe gespecificeerde toestemming wordt ingericht wordt steeds meer 
helder. Zoals ook in de inleiding werd aangegeven hebben KNMG, KNMP, 
LHV en NPCF, gefaciliteerd door VWS en Nictiz, een gezamenlijk plan 
opgesteld, waarin ze toewerken naar het geschetste eindperspectief en al 
concrete stappen zetten voor de implementatie van gespecificeerde 
toestemming. Dit traject loopt, een aantal elementen waar de leden van 
de SP-fractie op wijzen zal in de komende tijd nog moeten worden 
ingevuld. 

Het programma is gestart vanuit de visie dat de cliënt zelf zijn toestem¬ 
mingsprofiel Online moet kunnen vastleggen, inzien en aanpassen. Juist 
door het beheer van het toestemmingprofiel bij de cliënt zelf te leggen is 
hij of zij in staat om goed te overzien waarvoor hij toestemming geeft en 
hier regie op te voeren. Zo wordt voorkomen dat de zorgaanbieder een 
complexe en gedetailleerde toestemmingsregistratie per patiënt moet 
voeren. Organisatorische aanpassingen aan de werkwijze in de praktijk en 
technische aanpassingen aan de informatie- en uitwisselingsystemen van 
zorgaanbieders volgen hieruit, zodat medische gegevens alleen uitge¬ 
wisseld worden op basis van de toestemmingen die zijn vastgelegd en 
beheerd worden door de patiënt. 

Door gezamenlijk en zorgbreed de opzet en uitvoering van gespecifi¬ 
ceerde toestemming op te pakken, conform de nadere uitwerking die in 
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december 2015 aan de Tweede Kamer is gestuurd 7 , kan een kwaliteits- en 
efficiencyslag worden bereikt voor patiënt en zorgaanbieder. 

Het eerste resultaat van het programma is een globaal bedrijfsplan voor 
de te realiseren zorgbrede voorziening voor online toestemming, inclusief 
financiering van de ontwikkel- en exploitatiekosten. Dit bedrijfsplan is 
voorzien voor oktober 2016 en wordt in overleg met de verschillende 
partijen in de zorgsector, zorgaanbieders, patiëntenvertegenwoordigers, 
zorgverzekeraars en het Ministerie van VWS opgesteld. 

Vervolgens kunnen in samenspraak met vertegenwoordigers van 
patiënten en zorgverleners de toestemmingsvragen voor het zorgdomein 
van de patiënt bepaald worden. Voor de patiënt ontstaat een totaalbeeld 
en iedere beroepsgroep kan zo bepalen wat de organisatorische impact is 
binnen de eigen geledingen. Een informatiestandaard zorgt ervoor dat het 
uitwisselen op basis van de toestemming van de patiënt zorgbreed op een 
eenduidige wijze wordt ingevoerd. 

Aan koepelorganisaties wordt gevraagd om kennis en tijd te investeren in 
het verder ontwikkelen en realiseren van het eindperspectief: het 
uitwisselen van medische gegevens op basis van online toestemmings- 
profielen. Dit gebeurt via een netwerk van inhoudelijke deskundigen die 
gezamenlijk de oplossing vormgeven. Voor het ontwikkelen en exploiteren 
van de online toestemmingsregistratie wordt gezocht naar een of 
meerdere financiers. 

Een stuurgroep met zorgbrede samenstelling ziet er op toe dat de 
activiteiten van het programma volgens planning worden uitgevoerd en 
de resultaten aan de voorwaarden voor een zorgbreed draagvlak voldoen. 

De leden van de SP-fractie vragen of een arts dan nog zelfstandig, vanuit 
zijn professionele opvatting, een specifieke collega van deze categorie 
toegang kan geven tot deze gegevens wanneer hij dat (medisch) 
noodzakelijk acht, indien de patiënt via zo'n portaal «gespecificeerd» heeft 
aangegeven dat een bepaalde categorie zorgverleners geen toegang mag 
krijgen? 

Op grond van de WGBO kan een arts binnen een behandelrelatie 
medische gegevens verstrekken aan een specifieke collega (push verkeer). 
Dit verandert niet met onderhavig wetsvoorstel. De arts mag echter geen 
gegevens beschikbaar stellen via een elektronisch uitwisselingssysteem 
(pull berichten) aan een collega indien de patiënt hiertoe geen 
toestemming heeft verleend. Dat is nu ook al zo. 

De leden van de SP-fractie vragen of de patiënt het recht krijgt om 
digitalisering van zijn of haar patiëntendossier te weigeren. 

Dit wetsvoorstel heeft geen betrekking op de manier (papier of digitaal) 
waarop de zorgaanbieder zijn dossiers bijhoudt. Wel heeft de patiënt het 
recht de zorgaanbieder geen toestemming te geven deze gegevens 
digitaal uit te wisselen met andere zorgaanbieders via een elektronisch 
uitwisselingssysteem. 

De leden van de SP-fractie vragen hoe de patiënten ondersteund worden 
bij het geven van toestemming zodat een afgewogen keuze mogelijk is. 
Verder vragen de leden zich af of er een beeld is van wat dit extra gaat 
kosten aan tijd en geld voor de zorgverlener en of hier calculaties voor zijn 
gemaakt. 


7 Bijlage bij de nadere memorie van antwoord, Kamerstukken I, 2015-2016, 33 509, nr J. 
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De patiënt moet die keuzes op basis van de Wbp en de WGBO nu ook al 
maken. De regering vindt het van belang dat de patiënt een goede 
afweging moet kunnen maken bij het verlenen van toestemming. De 
informatieplicht voor het verwerken van persoonsgegevens is geregeld in 
de Wbp. In onderhavig wetsvoorstel wordt geregeld over welke onder¬ 
delen de zorgaanbieder de cliënt moet informeren. Het geven van 
informatie is dus al verplicht; dit wetsvoorstel geeft richting aan welke 
informatie gegeven moet worden. Zo moet de zorgaanbieder de cliënt 
informeren over zijn rechten bij elektronische gegevensuitwisseling, de 
wijze waarop hij zijn rechten kan uitoefenen, over de werking van het 
elektronisch uitwisselingssysteem en over substantiële wijzigingen. 
Zorgpartijen werken samen aan een traject voor de implementatie van 
gespecificeerde toestemming. Uitgangspunt is dat het informeren van de 
patiënt en het vragen en registreren van toestemming uitvoerbaar is en 
vermijdbare toename van administratieve lasten wordt voorkomen. De 
kosten in tijd en geld zijn afhankelijk van de wijze waarop gespecificeerde 
toestemming in de zorgpraktijk wordt geïmplementeerd en is daarmee 
onderdeel van het traject dat zorgpartijen met elkaar aan zijn gegaan. 

De leden van de SP-fractie wijzen erop dat er meerdere elektronische 
uitwisselingssystemen zijn en vragen zich af of deze wetgeving flexibel 
genoeg is. 

Het wetsvoorstel regelt de rechten van de patiënten ongeacht de 
elektronische uitwisselingssystemen. Dit wetsvoorstel geldt dus voor alle 
vormen van elektronische uitwisseling van medische gegevens: systemen 
voor elektronische uitwisseling met zorgaanbieders buiten de instelling of 
praktijk en systemen voor intern gebruik (binnen de instelling of praktijk). 
Er is dan ook geen sprake van - in de woorden van de leden van de 
SP-fractie -tunnelvisie of een wetsvoorstel dat gericht is op het oude EPD. 
Een aantal bepalingen geldt alleen voor uitwisseling via een elektronisch 
uitwisselingssysteem, maar het recht op bijvoorbeeld elektronische inzage 
en de eisen ten aanzien van beveiliging gelden voor alle vormen van 
elektronische gegevensverwerking - dus ook voor systemen die alleen 
voor intern gebruik bedoeld zijn. 

De leden van de SP-fractie vragen waarom niet gekozen is om eigen regie 
door middel van gespecificeerde toestemming optioneel te maken voor 
mensen die dit graag willen en kunnen, in aanvulling op (maar niet in 
plaats van) de gezamenlijke regie die arts en patiënt op dit moment 
hebben volgens de WGBO? 

De gespecificeerde toestemming komt niet in plaats van de gezamenlijke 
regie van de arts en de patiënt op grond van de WGBO. Dit wetsvoorstel 
verandert dit niet. De gespecificeerde toestemming wordt daar aan 
toegevoegd. Dit geeft een patiënt de mogelijkheid zelf te bepalen aan 
welke andere zorgverleners de arts gegevens beschikbaar mag stellen. 

De leden van de SP-fractie vragen wat dit wetsvoorstel betekent voor de 
professionele verantwoordelijkheid van de zorgverlener zoals dat op 
grond van de WGBO uitgangspunt is. 

Dit wetsvoorstel verandert niets aan dit uitgangspunt van de WGBO. 

De leden van de SP-fractie vragen onder verwijzing naar de bijlage bij de 
«Factsheet gespecificeerde toestemming» bij de nadere memorie van 
antwoord, naar het «overrulen» van de WGBO als gegevens beschikbaar 
worden gesteld via een elektronisch uitwisselingssysteem en een 
vervanger van de zorgverlener wil die gegevens inzien. Is het dan ook zo 
dat het beschikbaar stellen van medische gegevens voor een rechtstreeks 
bij de behandeling betrokken zorgverlener uit artikel 7:457, tweede lid, 
wordt overruled door het wetsvoorstel? 
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Degenen die rechtstreeks betrokken zijn bij de behandeling of de 
vervanger van de zorgverlener, mogen op grond van artikel 7:457, tweede 
lid BW, het dossier inzien dat de zorgverlener bijhoudt. De situatie wordt 
anders als men voor de inzage van gegevens door anderen dan de 
zorgverlener zelf, gebruik wil maken van een elektronisch uitwisselings- 
systeem. In dat geval zal de zorgverlener eerst uitdrukkelijke (gespecifi¬ 
ceerde) toestemming moeten vragen. Als die toestemming is verleend, 
kunnen gegevens door de vervanger en door degenen die rechtstreeks bij 
de behandeling betrokken zijn, worden ingezien. Met het «overrulen» van 
de WGBO wordt dus bedoeld dat op grond van het voorliggende 
wetsvoorstel echt alleen gebruik mag worden gemaakt van een elektro¬ 
nisch uitwisselingssysteem, als de cliënt daar uitdrukkelijke toestemming 
voor heeft gegeven. De zorgverlener mag niet op basis van de genoemde 
bepaling uit de WGBO de gegevens voor zijn vervanger beschikbaar 
stellen via een elektronisch uitwisselingssysteem zonder uitdrukkelijke 
toestemming van de cliënt. 

De leden van de SP-fractie vragen nadere uitleg over de push- en 
pull-communicatie van dit wetsvoorstel en vragen hoe dit zich verhoud 
met de WGBO en Wbp. 

Het wetsvoorstel bepaalt dat bij gebruik van elektronische uitwisselings- 
systemen toestemming nodig is voor het elektronisch beschikbaar stellen 
van gegevens. Dit betreft pull verkeer, daarvoor geldt gespecificeerde 
toestemming. Voor push verkeer, actief gegevens aan een specifieke 
zorgaanbieder sturen - bijvoorbeeld voor een verwijzing -geldt de WGBO 
en dat blijft ook zo na inwerkingtreding van dit wetsvoorstel. De Wbp gaat 
over alle verwerking van gegevens, waarbij gegevens betreffende de 
gezondheid, als bijzondere persoonsgegevens worden aangemerkt. De 
gespecificeerde toestemming voor het gebruik van elektronische 
uitwisselingssystemen zoals neergelegd in dit wetsvoorstel, is gebaseerd 
op het vereiste van de Wbp dat uitdrukkelijke toestemming moet zijn 
verleend. 

Vragen en opmerkingen van de leden van de PvdA-fractie 

Reikwijdte van het wetsvoorstel 

De leden van de PvdA-fractie vragen of voor de zorg onder de Wlz, de 
Jeugdwet (jeugdhulp) en onder de Wmo (maatschappelijke onder¬ 
steuning) de belangen die de cliënt beschermen bij elektronische 
gegevensuitwisseling, adequaat geregeld zijn en welke spelregels gelden 
voor medische gegevens die gehanteerd worden binnen de Wlz, de 
Jeugdwet en de Wmo. 

De bepalingen uit voorliggend wetsvoorstel zullen ook voor aanbieders 
van Wlz-zorg gelden. De beveiliging bij elektronische uitwisseling van 
gegevens in het kader van de Jeugdwet en de Wmo 2015 dient te voldoen 
aan de in de Uitvoeringsregeling Wmo 2015 of de Regeling Jeugdwet 
gestelde normen voor informatiebeveiliging (zie art. 5.2.9, zesde lid, Wmo 
2015 juncto artikel 3 Uitvoeringsregeling Wmo 2015 en art. 7.2.5 Jeugdwet 
juncto art. 6 van de Regeling Jeugdwet). 

Bij en krachtens de Wlz, de Jeugdwet en de Wmo 2015 is geregeld in 
welke gevallen en onder welke voorwaarden persoonsgegevens omtrent 
de gezondheid als bedoeld in artikel 16 van de Wet bescherming 
persoonsgegevens (hieronder vallen de medische gegevens) mogen 
worden verwerkt. 
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Fasegewijze implementatie 


De leden van de PvdA-fractie vragen hoeveel tijd de zorgaanbieders 
krijgen, nadat de wet van kracht wordt, om te voldoen aan alle eisen die 
voortvloeien uit dit wetsvoorstel en de AMvB? 

Zoals eerder aangegeven zal voor de bepaling rondom gespecificeerde 
toestemming en elektronische inzage een termijn van 3 jaar gelden na 
inwerkingtreding van het wetsvoorstel. Dit geldt ook voor de bepaling 
over de registratie van de gespecificeerde toestemming en de aanvulling 
op artikel 35 Wbp op het afschrift van de logginggegevens. Alle 
bepalingen die betrekking hebben op het verbod voor zorgverzekeraars, 
bedrijfsartsen en keuringsartsen, om zich toegang te verschaffen tot een 
elektronisch uitwisselingssysteem, kunnen direct in werking treden. Ook 
de voorhangbepaling voor de AMvB op grond van artikel 26 Wbp met 
technische en organisatorische eisen, kan direct in werking treden, 
evenals de AMvB zelf. 

Organisatorische consequenties en administratieve lasten 

De leden van de PvdA-fractie vragen hoe de regering de rolverdeling ziet 
tussen individuele medische specialisten en de bestuurlijke verantwoorde¬ 
lijkheid van de maatschappen en zorginstellingen waarbinnen zij veelal 
werkzaam zijn. 

Het wetsvoorstel legt de plicht tot het vragen van toestemming, het geven 
van elektronische inzage en het informeren van patiënten op aan de 
zorgaanbieder. Grote instellingen zullen dat centraal vormgeven en 
daarover zo nodig met bijvoorbeeld maatschappen afspraken maken. Bij 
de individuele zorgverlener ligt de verantwoordelijkheid om na te gaan of 
hij gegevens beschikbaar stelt of inziet zoals past binnen iemands 
toestemmingsprofiel. Een elektronisch uitwisselingssysteem dat voldoet 
aan alle technische en organisatorische eisen zou een zorgverlener hierbij 
ook moeten ondersteunen. Hij zou geen inzage moeten kunnen doen, 
waarvoor de patiënt geen toestemming heeft verleend. 

De leden van de PvdA-fractie vragen opheldering over de inschatting van 
de administratieve lasten bij de inwerkingtreding van de bepaling rond 
gespecificeerde toestemming. De leden geven aan dat in de nadere 
memorie van antwoord enerzijds wordt gezegd dat nu nog niet kan 
worden ingeschat wat de administratieve lasten zijn en anderzijds wel 
wordt geconcludeerd dat verwacht wordt dat die in de eindsituatie mee 
zullen vallen. 

De regering is het eens met de leden van de PvdA-fractie dat deze twee 
zinsneden (onbedoeld) tegenstrijdig lijken. De regering deelt het 
perspectief dat de zorgpartijen voor ogen hebben in het traject rond de 
uitvoerbaarheid en nadere invulling van gespecificeerde toestemming, dat 
cliënten in de toekomst zelf hun toestemmingsprofiel kunnen beheren. In 
dit perspectief verwacht ik dat de administratieve lasten voor zorgver¬ 
leners beperkt kunnen blijven als cliënten op een toegankelijke en 
gebruiksvriendelijke manier vanuit huis of een ziekenhuisportaal goed 
geïnformeerd toestemming kunnen verlenen. Voor een goed onder¬ 
bouwde inschatting van de administratieve lasten is het echter nog te 
vroeg. Hiervoor is meer duidelijkheid nodig over de wijze waarop 
gespecificeerde toestemming in de zorgpraktijk wordt geïmplementeerd 
en andere factoren zoals de mate waarin cliënten daadwerkelijk zelf 
beheer gaan voeren. Doordat de aanbieders en patiënten nauw betrokken 
zijn bij de uitwerking hiervan, zullen de administratieve lasten daarin wel 
de aandacht krijgen. 
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Vragen en opmerkingen van de leden van de Groen Links-fractie 

De leden van de Groen Links-fractie vragen of de interpretatie juist is dat 
ook bij volledig uitstel van invoering de basale bescherming van de 
privacy al is geregeld in onder andere de WGBO en de Wbp? 

De basale bescherming van de privacy is inderdaad geregeld in de WGBO 
en Wbp, het wetsvoorstel stelt aanvullende eisen specifiek gericht op de 
elektronische verwerking van medische gegevens en uitwisseling daarvan 
via een elektronisch uitwisselingssysteem. Het wetsvoorstel versterkt de 
rechten van de patiënt, betere beveiliging van zijn gegevens en privacy. 

Het klopt inderdaad als de leden van de Groen Links-fractie stellen dat met 
het niet invoeren van artikel 15b van het wetsvoorstel (toestemming 
vragen bij raadplegen gegevens) zorgaanbieders nog steeds alleen 
gegevens mogen raadplegen als er een behandelrelatie is. De cliënt zal 
door het amendement Bruins Slot gespecificeerd toestemming geven aan 
de zorgaanbieder met wie hij een behandelrelatie heeft om gegevens 
beschikbaarte stellen aan bepaalde (categorieën) zorgaanbieders. 8 
Nogmaals toestemming vragen als een zorgaanbieder (met wie de patiënt 
een behandelrelatie heeft) gegevens wil raadplegen zal door veel cliënten 
als herhaling worden ervaren. 

De interpretatie van de leden van de Groen Links-fractie dat met het nog 
niet invoeren van artikel 15d en 15e van het wetsvoorstel (elektronisch 
afschrift, inzage en logging) zorgaanbieders met wie op dat moment geen 
behandelrelatie bestaat, gegevens zouden kunnen raadplegen zonder dat 
de patiënt dat kan achterhalen is niet juist. De patiënt heeft ook nu al, op 
grond van artikel 35 Wbp recht op inzage in de logging. 

De leden van de Groen Links fractie vragen op welke termijn de 
gespecificeerde toestemming uitvoerbaar en handhaafbaar is en op welke 
termijn er zicht is op een patiëntenportaal waar de toestemmingen veilig 
en klantvriendelijk kunnen worden beheerd en of dit ook wordt gekoppeld 
aan inzage in /oggf/ngr-bestanden? 

De inschatting- ook die van de zorgpartijen - is dat drie jaar een redelijke 
termijn is voor de uitvoerbaarheid van gespecificeerde toestemming en 
het realiseren van een portaal. Sommige zorgaanbieders zullen hier 
mogelijk eerder klaar voor zijn, omdat ze nu al een portaal aan patiënten 
kunnen aanbieden. Op basis van het HIMMS EMRAM model bevinden 
zich 10 ziekenhuizen op niveau 6 (één na hoogste) en 1 ziekenhuis op 
niveau 7 (hoogste). Deze ziekenhuizen zullen mogelijk eerder in staat zijn 
om gespecificeerde toestemming in te voeren. 

Eerder in dit verslag heb ik u de stand van zaken toegelicht van het traject 
dat de zorgpartijen zijn gestart rond de invulling van gespecificeerde 
toestemming. Het project van de zorgpartijen ten aanzien van gespecifi¬ 
ceerde toestemming is niet gekoppeld aan de inzage van de logging. De 
inzage van de logging hoort bij het recht op elektronische inzage. Bij 
elektronische inzage moet desgevraagd ook inzage in de loggegevens 
worden gegeven. 

De leden van de Groen Links-fractie vragen op welke wijze het risico van 
een inbreuk op de anonimiteit van gegevens in het LSP wordt uitgesloten 
(zoals tijdens de deskundigenbijeenkomst door de heer Verheul 
beschreven als een verwijsindex 9 )? 


8 Kamerstukken II, 2013-2014, 33 509 nr. 13 

9 Kamerstukken I 2015-2016, 33 509, L, p. 8. 
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De inbreng van de heer Verheul is relevant. Ik ben voornemens om aan de 
AMvB bepalingen ten aanzien van privacy enhanced technologies toe te 
voegen. Daarmee wordt voorkomen dat voortschrijdende technologische 
verbeteringen ten aanzien van privacybescherming niet worden 
toegepast. In algemene zin geldt dat de verantwoordelijke voor een 
systeem ervoor moet zorgen dat de verwerkte gegevens afdoende 
beveiligd zijn. Wellicht ten overvloede: dit geldt niet alleen voor het LSP 
maar voor alle elektronische uitwisselingssystemen. Dit wetsvoorstel en 
de AMvB zijn immers niet specifiek bedoeld voor het LSP, maar voor alle 
gebruikte elektronische infrastructuur. 

Tenslotte vragen de leden van de Groen Links of voor het vaststellen van 
nadere NEN-normen voor de gegevensuitwisseling een ministeriële 
regeling volstaat, omdat daar al een wettelijke grondslag voor bestaat. 

De NEN normen worden verplicht op grond van artikel 26 van de Wbp. 
Hiervoor is het niveau van een AMvB vereist, een ministeriele regeling is 
niet voldoende. Wel is het zo dat de NEN 7510 en 7512 reeds verplicht zijn 
bij het gebruik van het burgerservicenummer op grond van de Wet 
gebruik burgerservicenummer in de zorg. 

De Minister van Volksgezondheid, Welzijn en Sport, 

E.l. Schippers 
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